Weekly Threats N. 6 2022

11 Febbraio 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Diverse offensive continuano a colpire il nostro Paese
APT: tracciati nuovi avversari dall’Asia
Molerats: le ultime dalle campagne di spionaggio
Apple: corretta una vulnerabilità 0-day

Quella appena conclusa è stata una settimana piuttosto turbolenta nel cyberspazio italiano. Il LockBit Team ha annunciato la compromissione dell’azienda Torello Trasporti S.r.l., attiva nel campo dei servizi per l’autotrasporto, la logistica e la distribuzione, mentre il Gruppo Dolomiti Energia ha rilasciato un comunicato stampa nel quale informa che i propri sistemi hanno subito un attacco informatico. Tuttavia, la società del Trentino ha specificato che l’erogazione dei servizi e la sicurezza degli impianti non sono state compromesse.
Rimanendo in ambito nazionale, oltre alle consuete offensive basate sui malware IcedID, sLoad e LokiBot, particolarmente insistenti sono state le campagne di distribuzione del trojan bancario Ursnif a tema Agenzia delle Entrate.

Nel panorama state-sponsored si sono rivelati particolarmente attivi gli avversari del continente asiatico.
Per quanto riguarda la Corea del Nord, ScarCruft ha condotto un’offensiva volta a veicolare il malware xRAT basato su Quasar RAT e, dal canto suo, Lazarus Group ha preso di mira entità operanti nel settore della Difesa in un’operazione denominata LolZarus.
In Cina, invece, un gruppo precedentemente non documentato identificato come Antlion ha utilizzato una nuova backdoor custom chiamata xPack in una campagna durata almeno 18 mesi tra il 2020 e il 2021 che aveva come target istituzioni finanziarie e aziende manifatturiere taiwanesi.
Quanto all’India, è stato tracciato un nuovo avversario che risponde al nome di ModifiedElephant e che per più di un decennio ha operato nella massima segretezza. Attivo presumibilmente almeno dal 2012, il gruppo ha fatto affidamento su e-mail di spear-phishing con allegati malevoli per raggiungere attivisti, difensori dei diritti umani, giornalisti, accademici e avvocati indiani. Dall’analisi delle sue TTP, l’ipotesi che si tratti di un collettivo sponsorizzato dal Governo indiano sembrerebbe essere quella più plausibile.
Spostandoci in Medio Oriente, il palestinese Molerats ha sfruttato il nuovo implant NimbleMamba in attacchi di spionaggio contro Governi mediorientali, think tank di politica estera e una compagnia aerea statale.

Concludiamo la nostra rassegna con una vulnerabilità Apple 0-day che potrebbe essere stata attivamente sfruttata ITW. Tracciata con codice CVE-2022-22620, è di tipo Use After Free, risiede nel componente WebKit e permette l’esecuzione di codice arbitrario.

[post_tags]

Antlion CVE-2022-22620 IcedID Lazarus Group LockBit Team LokiBot ModifiedElephant Molerats NimbleMamba Quasar RAT ScarCruft sLoad Ursnif xPack xRAT

Contenuti correlati

Nuove vulnerabilità preoccupano gli esperti, tracciate offensive di APT asiatici, segnalati leak di AT&T e target italiani

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Attacchi colpiscono la Francia, rivendicazioni ransomware e hacktiviste, attivi avversari cinesi, iraniani e nordcoreani